Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

Вышла 0.89

github: https://github.com/horsicq/Detect-It-Easy
e-mail для багрепортов: horsicq[at]gmail.com

[+] Исправлены некоторые ошибки
[+] Обновлена документация
[+] Изменена структура сигнатур. Во избежание проблем совместимости со старыми версиями, не распаковывайте архив в папку со старой версией DIE!
[+] Полная история изменений: https://github.com/horsicq/Detect-It-Easy/commits/master

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Кстати теперь DIE является без всяких сомнений самым лучшим детектором MS DOS сигнатур в мире.

За помощь огромное спасибо hypn0.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Dazz

На exetools вчера писали
[Search->Crypto->Search]
this feature sometimes crashes DIE due to unhandled exception...

Я вполне понимаю, что инфа почти ни о чём, но может хотя бы подскажет, что ещё стоит потестить/получше посмотреть.

| Сообщение посчитали полезным: hors

Archer пишет:
Я вполне понимаю, что инфа почти ни о чём, но может хотя бы подскажет, что ещё стоит потестить/получше посмотреть.

Вроде бы эта проблема была на Ubuntu 32 bits в версии 0.87 и это уже было исправлено.
Хотя конечно хотелось бы посмотреть файл на котором падает.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

die.exe itself.
crypto search on it triggers an unhandled exception on winxp SP3 x86.
it works fine on win7 SP1 x64

| Сообщение посчитали полезным: hors

Archer пишет:
die.exe itself.
crypto search on it triggers an unhandled exception on winxp SP3 x86.
it works fine on win7 SP1 x64

Спасибо! Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Спасибо! Добавил в TODO.

Хаха. Я ведь писал про эту багу. И давно уже.
Там весь этот блок поисков какой-то не стабильный.

| Сообщение посчитали полезным: hors

hypn0 пишет:
Хаха. Я ведь писал про эту багу. И давно уже.
Там весь этот блок поисков какой-то не стабильный.

Про то что ты писал, уже давно исправили. Это совсем другая ошибка.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
С импортом беда. Словами долго описывать, записал мувик
мувик

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors, Jupiter

void пишет:
hors
С импортом беда. Словами долго описывать, записал мувик
мувик

Спасибо за видео Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Еще один мувик с багом
мувик

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
Еще один мувик с багом
мувик

Спасибо! Добавил в TODO!

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Предложение, в таблице секций сделать RowSelect = true

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

Под рукой только 0.88, но думаю новая тоже не детектит.
--> Link <--
Старый Аспр.

-----
ds

| Сообщение посчитали полезным: hors

Приветствую!
Знаю может ересь , но все же. Возможно ли прикрутить вкладку Search Text/String как делают мини утилиты типа:
bintext и ShowString в аттаче?


49d1_29.08.2014_EXELAB.rU.tgz - exehack.rar

| Сообщение посчитали полезным: hors

ой а нафиг перевод в 0.90 версии? :\

| Сообщение посчитали полезным:

Скачал 0.90... Ух ёб, а где переключить язык на инглиш ?
Снёс die_ru.qm из папки Lang - всё ок.

-----
ds

| Сообщение посчитали полезным:

А можно автора плагина для CFF Explorer попросить скомплить версию для х64?

| Сообщение посчитали полезным: _FUCKER_

PEPка не детектится

--> Link <--

| Сообщение посчитали полезным: hors

DIE 0.91, WinXP SP3

Выше было написано про проблемы с поиском Crypto. Пока не особо понял, в чем дело, но повторяются вылеты периодически если я произвожу следующие действия:
1) Поиск Ansi - найдено более 10000 записей
2) Поиск Crypto и пока ищутся сигнатуры, делаю активной другую программу (например, браузер)

В данном случае, происходит вылет DIE без каких-либо сообщений.

Если не переключаться на другую программу (2 пункт), то показывается пустое окно, хотя сигнатуры находятся, если нет глюка. Лучше проверять при другой активной программе - чаще вылетает, чем показывается пустое окно.

Проверял на последней версии HandyCache после upx -d . Можно взять на сайте или http://rghost.ru/58216496

| Сообщение посчитали полезным: hors

void пишет:
Предложение, в таблице секций сделать RowSelect = true

Интересная идея, будем думать.

Добавлено спустя 2 минуты
DimitarSerg пишет:
Под рукой только 0.88, но думаю новая тоже не детектит.
--> Link <--
Старый Аспр.

Спасибо. Будем смотреть.

Добавлено спустя 5 минут
==DJ==[ZLO] пишет:
Приветствую!
Знаю может ересь , но все же. Возможно ли прикрутить вкладку Search Text/String как делают мини утилиты типа:
bintext и ShowString в аттаче?
Спасибо за идею.
Это уже есть. Search(кнопка S в английской версии)->ANSI

Добавлено спустя 6 минут
mushr00m пишет:
ой а нафиг перевод в 0.90 версии? :\

По многочисленным просьбам.

Добавлено спустя 7 минут
DimitarSerg пишет:
Скачал 0.90... Ух ёб, а где переключить язык на инглиш ?
Снёс die_ru.qm из папки Lang - всё ок.

Настройки->Внешний вид->Язык->English

Добавлено спустя 13 минут
PASAf пишет:
А можно автора плагина для CFF Explorer попросить скомплить версию для х64?

Здесь кажется уже выкладывали: http://forum.exetools.com/showthread.php?t=15028&page=3

Добавлено спустя 13 минут
Apocalypse пишет:
PEPка не детектится

--> Link <--

Спасибо, будем разбираться.

Добавлено спустя 15 минут
Dazz пишет:
DIE 0.91, WinXP SP3

Выше было написано про проблемы с поиском Crypto. Пока не особо понял, в чем дело, но повторяются вылеты периодически если я произвожу следующие действия:
1) Поиск Ansi - найдено более 10000 записей
2) Поиск Crypto и пока ищутся сигнатуры, делаю активной другую программу (например, браузер)

В данном случае, происходит вылет DIE без каких-либо сообщений.

Если не переключаться на другую программу (2 пункт), то показывается пустое окно, хотя сигнатуры находятся, если нет глюка. Лучше проверять при другой активной программе - чаще вылетает, чем показывается пустое окно.

Проверял на последней версии HandyCache после upx -d . Можно взять на сайте или http://rghost.ru/58216496

Спасибо за подробное описание. Постараюсь это исправить.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Dazz

сканить стало быстрее - гууд.

а как так может быть?

http://s7.hostingkartinok.com/uploads./images/2014/09/7923548eb86ba1a019e73533c412d902.png

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
http://s7.hostingkartinok.com/uploads./images/2014/09/7923548eb86ba1a019e73533c412d902.png

Похожие сигнатуры. Скинь файл.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Сервер упал?
"No configuration file found and no installation code available. Exiting..."

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors

4kusNick пишет:
Сервер упал?
"No configuration file found and no installation code available. Exiting..."

Спасибо, будем разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Кстати DIE DLL легко можно подключить к своему проекту(необязательно на QT)
Вот пример программы на Дельфи: --> Link <--

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Приветствую.
Можно ли добавить поиск в найденных строках в "Поиск-е"?
и еще : при открытом поиске что бы не "держал" файл а, давал возможность запускать файл.

| Сообщение посчитали полезным: hors

==DJ==[ZLO] пишет:
Можно ли добавить поиск в найденных строках в "Поиск-е"?
==DJ==[ZLO] пишет:
при открытом поиске что бы не "держал" файл а, давал возможность запускать файл.

Хорошие идеи. Постараюсь сделать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Для любителей Python'a небольшой анализатор файлов с использованием DIE
--> Link <--

| Сообщение посчитали полезным: hors

--> Active development of DIE has come to an end <--



| Сообщение посчитали полезным: